Lo bueno de trabajar con gente más lista que tú es que siempre aprendes cosas nuevas, incluso cuando menos te lo esperas. Ayer por la tarde en Eleven Paths tuvimos una reunión de seguimiento de Faast, nuestro sistema de Pentesting Persistente, y entre el repaso de las cosas nuevas salió un pequeño detalle de un fichero que se había incluido entre muchos otros entre los que producen fugas de información y que yo no conocía. Su nombre era: dwsync.xml
Tras la reunión me picó la curiosidad y quise saber más sobre él para entender por qué representaba una fuga de información. Tras leer un poco en Internet, resultó que es un archivo en formato XML que se usa para controlar la sincronización de archivos entre el cliente de Adobe DreamWeaver y el servidor web en el que se guarda la lista de ficheros que se han subido al servidor y cuándo fue la última vez que se hizo.
Este fichero no debería estar nunca en el servidor web, pero sin embargo, como sucede con otros archivos en ejemplos similares de fuga de información, como el caso de Fantastico, los famosos archivos .listing - y su aparición en las webs - o los muy comunes ficheros .DS_Store y Thumbs.db, algunos administradores y/o desarrolladores de sitios web acaban subiéndolos por error o desconocimiento, lo que produce por tanto fugas de información que afectan a la totalidad de ficheros subidos como a rutas locales del cliente no deseadas.
Adobe tiene un artículo en la knowledge base sobre su funcionamiento y los riesgos de seguridad asociados, ya que buscando en Internet es posible acceder a muchos de ellos subidos en repositorios de código como como GitHub, carpetas _notes del cliente de DreamWeaver que acaban completas en los servidores web o sitios insospechados. En el siguiente ejemplo, un fichero dwsync.xml cacheado en Google tras ser buscado y abierto por una WebShell.
Figura 3: fichero dwsync.xml cacheado en Google al ser abierto por una WebShell |
Jugando con ellos anoche, estuve mirando si era muy costoso encontrar ficheros "ocultos" en un servidor web a partir de estos ficheros dwsync.xml, con el objeto de añadir este archivo a mi lista de técnicas para listar los ficheros de un servidor web, y la verdad es que es bastante sencillo.
Figura 4: Ficheros dwsync.xml indexados en Google |
En este ejemplo se puede ver cómo se ha subido un fichero dwsync.xml al servidor web y cómo en él hay una lista de ficheros .mno - archivos de información que también se crean con DreamWeaver -. Es decir un fichero llamado archivo.aaa.mno guarda información relativa al fichero archivo.aaa.
En este caso, es posible localizar el archivo de información y ver datos como la dirección de correo electrónico del usuario que creo dicho fichero usando DreamWeaver.
Al final este fichero dwsync.xml es un punto más de fuga de información dentro de un servidor web y es normal que el equipo de Faast lo hubiera metido en la lista de ficheros con fugas de información a revisar en un proceso de Pentesting Persistente. Ten cuidado si usas DreamWeaver en tu organización para que no te afecte una fuga de información tan sencilla como esta.
Saludos Malignos!
No hay comentarios:
Publicar un comentario